Danska: Uporaba JavaScripta
Danski nadzorni organ je Agenciji za digitalizacijo izdal opomin zaradi uporabe JavaScript-a v povezavi z MitID, danskim digitalnim identifikatorjem, brez predhodno izvedene DPIA, kljub splošno znanim pomislekom glede programskega jezika.
Odločitev je bila sprejeta 9.11.2023
20. januarja 2022 je danski nadzorni organ od posameznika prejel poizvedbo o uporabi programskega jezika JavaScript s strani Agencije za digitalizacijo v povezavi z MitID. V poizvedbi je bilo navedeno, da je programski jezik JavaScript zastarel in ni varen ter da je v naprave mogoče zlahka vdreti, če je JavaScript omogočen, kot to poudarjajo vodilni varnostni strokovnjaki že vrsto let.
Nadzorni organ se je odločil nadalje raziskati zadevo in od upravljavca zahteval, da predloži informacije v zvezi z zadevno obdelavo. Upravljavec je pojasnil, da je izvedel oceno tveganja MitID in ugotovil ustrezna tveganja, vključno s splošnimi tveganji v zvezi z JavaScript-om. Izjavil je, da ni ocenil možnih tveganj za pravice posameznikov pri uporabi posebej JavaScript-a, da pa so po njihovem mnenju izvedli ustrezne tehnične in organizacijske ukrepe za zagotovitev zadostne ravni varnosti za zaščito pravic in svoboščin posameznikov. V zvezi s to obdelavo je upravljavec tudi pojasnil, da so bile določene številne varnostne zahteve, da se zagotovi, da je sistem varen in posodobljen ves čas. Na koncu je upravljavec tudi zapisal, da je leta 2013 ocenil uporabo JavaScript-a za NemID (stari eID, ki ga je nadomestil MitID) in ugotovil, da bo rešitev v jeziku JavaScript vedno zagotavljala visoko raven varnosti.
Nadzorni organ je spomnil, da GDPR v več določbah zahteva, da upravljavec podatkov obravnava tveganje za pravice in svoboščine posameznikov. Člen 25 GDPR, člen 35 GDPR in člen 36 GDPR med drugim zahtevajo, da se pred začetkom postopkov obdelave upoštevajo tveganja za pravice posameznikov. Poleg tega je nadzorni organ spomnil, da morajo biti v skladu s členom 5(1)(f) GDPR osebni podatki obdelani na način, ki zagotavlja ustrezno varnost zadevnih osebnih podatkov. Nadalje je opozoril, da iz člena 5(2) GDPR in člena 24(1) GDPR izhaja, da mora biti upravljavec sposoben dokazati skladnost z GDPR. Da lahko nadzorni organ oceni, ali je zagotovljena ustrezna raven varnosti: upravljavec mora dokumentirati ugotovljena tveganja in sprejete ukrepe za ublažitev.
Na podlagi informacij, predloženih v primeru, je nadzorni organ ugotovil, da upravljavec ni posebej ocenil, ali bi uporaba tehnologij JavaScript lahko povzročila tveganja za pravice posameznikov, saj je izvedel le oceno tveganja za MitID. Medtem je nadzorni organ izjavil, da bi moral upravljavec izvesti ločeno oceno tveganja JavaScript-a, saj je bilo javno znano, da ima programski jezik veliko težav. Nadzorni organ je opozoril, da je bilo to v tem primeru ključnega pomena tudi zaradi uporabe JavaScript-a v MitID, delu nacionalne infrastrukture. Poleg tega je nadzorni organ ugotovil, da uporaba ocene JavaScript, opravljene pred nekaj leti v zvezi z NemID, ni ustrezna.
Nadzorni organ je zaključil, da upravljavec ni dokazal, da je prepoznal tveganja, ki jih uporaba JavaScript-a pomeni za posameznike, niti ni uvedel ustreznih tehničnih varnostnih ukrepov za zaščito posameznikov. Tako je nadzorni organ upravljavcu očital obdelavo osebnih podatkov v nasprotju s členom 5(2) GDPR, členom 5(1)(f) GDPR, členom 24(1) GDPR in členom 32(1) GDPR.
Nadzorni organ je od upravljavca tudi zahteval, da izvede posebno oceno tveganja za pravice in svoboščine posameznikov, ki bi ga lahko povzročila uporaba JavaScript-a, vključno z oceno ustreznosti ukrepov v zvezi z javno znanimi varnostnimi tveganji tehnologij JavaScript.
Odločba v danskem jeziku.
Vir: GDPRhub
